Responsable de la sécurité de l’information

Un responsable de la sécurité de l’information ( CISO ) est le cadre supérieur d’une organisation responsable de l’établissement et du maintien de la vision, de la stratégie et du programme de l’entreprise pour garantir que les actifs et les technologies de l’information sont protégés de manière adéquate. Le CISO dirige le personnel dans l’identification, le développement, la mise en œuvre et la maintenance des processus dans toute l’entreprise afin de réduire les risques liés à l’information et aux technologies de l’information (TI). Ils répondent aux incidents, établissent des normes et des contrôles appropriés, gèrent les technologies de sécurité et dirigent l’établissement et la mise en œuvre de politiques et de procédures. Le RSSI est également généralement responsable de la conformité liée aux informations (par exemple, supervise la mise en œuvre pour atteindreCertification ISO/CEI 27001 pour une entité ou une partie de celle-ci). Le CISO est également responsable de la protection des informations exclusives et des actifs de l’entreprise, y compris les données des clients et des consommateurs. CISO travaille avec d’autres cadres pour s’assurer que l’entreprise se développe de manière responsable et éthique.

En règle générale, l’influence du RSSI atteint l’ensemble de l’organisation. Les responsabilités peuvent inclure, mais sans s’y limiter :

• Équipe d’intervention en cas d’urgence informatique / équipe d’intervention en cas d’incident de sécurité informatique
• La cyber-sécurité
• Reprise après sinistre et gestion de la continuité des activités
• Gestion des identités et des accès
• Confidentialité des informations
• Conformité réglementaire des informations (par exemple, US PCI DSS , FISMA , GLBA , HIPAA ; UK Data Protection Act 1998 ; Canada PIPEDA , Europe GDPR )
• Gestion des risques informatiques
• Sécurité de l’information et assurance de l’information
• Centre des opérations de sécurité de l’information (ISOC)
• Contrôles des technologies de l’information pour les systèmes financiers et autres
• Enquêtes informatiques, criminalistique numérique , EDiscovery

Avoir un CISO ou une fonction équivalente dans les organisations est devenu une pratique courante dans les entreprises, les gouvernements et les organisations à but non lucratif. En 2009, environ 85 % des grandes organisations avaient un responsable de la sécurité, contre 56 % en 2008 et 43 % en 2006. En 2018, l’enquête sur l’état mondial de la sécurité de l’information 2018 (GSISS), une enquête conjointe menée par le CIO, le CSO , et PwC, ^{[1] [2]} ont conclu que 85 % des entreprises ont un RSSI ou équivalent. Le rôle du CISO s’est élargi pour englober les risques rencontrés dans les processus métier , la sécurité des informations, la confidentialité des clients, etc. En conséquence, la tendance est désormais de ne plus intégrer la fonction CISO au sein du groupe informatique. En 2019, seulement 24 % des RSSI rapportent à un directeur de l’information(CIO), tandis que 40 % relèvent directement d’un directeur général (PDG), et 27 % contournent le PDG et relèvent du Conseil d’administration. L’intégration de la fonction CISO dans la structure hiérarchique du CIO est considérée comme sous-optimale, car il existe un potentiel de conflits d’intérêts et parce que les responsabilités du rôle s’étendent au-delà de la nature des responsabilités du groupe informatique.

Dans les entreprises, la tendance est que les RSSI aient un bon équilibre entre sens des affaires et connaissances technologiques. Les RSSI sont souvent très demandés et la rémunération est comparable à d’autres postes de niveau C qui détiennent également un titre d’entreprise similaire .

Un CISO typique détient des certifications non techniques (comme CISSP et CISM ), bien qu’un CISO issu d’une formation technique ait un ensemble de compétences techniques élargi. D’autres formations typiques incluent la gestion de projet pour gérer le programme de sécurité de l’information, la gestion financière (par exemple, la détention d’un MBA accrédité ) pour gérer les budgets infosec et les compétences non techniques pour diriger des équipes hétérogènes de responsables de la sécurité de l’information, de directeurs de la sécurité de l’information, d’analystes de sécurité, d’ingénieurs en sécurité. et les gestionnaires des risques technologiques. Récemment, compte tenu de l’implication du RSSI dans les questions de confidentialité, des certifications telles que CIPP sont fortement demandées.

Un développement récent dans ce domaine est l’émergence des CISO “Virtuels” (vCISO, également appelés “Fractional CISO”). ^[3] Ces CISO travaillent sur une base partagée ou fractionnée, pour des organisations qui peuvent ne pas être assez grandes pour prendre en charge un CISO exécutif à temps plein, ou qui peuvent souhaiter, pour diverses raisons, avoir un cadre externe spécialisé pour remplir ce rôle. . Les vCISO remplissent généralement des fonctions similaires à celles des CISO traditionnels et peuvent également fonctionner comme un CISO “intérimaire” pendant qu’une entreprise employant normalement un CISO traditionnel recherche un remplaçant. ^[4] Les principaux domaines dans lesquels les vCISO peuvent soutenir une organisation incluent :

• Conseils sur toutes les formes de cyber-risques et plans pour y faire face
• Coaching du Conseil d’administration, de l’équipe de direction et de l’équipe de sécurité
• Évaluation et sélection des produits et services des fournisseurs
• Maturité des opérations de modélisation et des processus, capacités et compétences de l’équipe d’ingénierie
• Briefings et mises à jour du Conseil d’administration et de l’équipe de direction
• Planification et examen des budgets de fonctionnement et d’investissement

Voir également

• Sécurité des informations
  • Gouvernance de la sécurité de l’information
  • Gestion de la sécurité de l’information
• Conseil d’administration
• Responsable des données
• Chef de la direction
• Directeur de l’information
• Directeur des risques
• Chef de sécurité

Références

1. ^ “Enquête sur l’état mondial de la sécurité de l’information 2018” . IDG . 2017-12-08 . Récupéré le 17/08/2021 .
2. ^ Fruhlinger, Josh (2018-06-12). « Est-ce important de savoir à qui le RSSI rend compte ? » . PricewaterhouseCoopers . Archivé de l’original le 2019-04-04 . Récupéré le 17/08/2021 . {{cite web}}: CS1 maint: unfit URL (link)
3. ^ Drolet, Michelle (1 avril 2015). “Sécurisez votre avenir avec un RSSI virtuel” . Magazine InfoSécurité . Récupéré le 17/08/2021 .
4. ^ “Services CISO virtuels (vCISO)” . Récupéré le 17/08/2021 .

Liens externes

• “La Division CERT” . Institut de génie logiciel de l’Université Carnegie Mellon . Récupéré le 17/08/2021 .
• Oiseau, Brad (2020-04-21). “Qu’est-ce qu’un responsable de la sécurité de l’information ?” . Bureau du RSSI . Récupéré le 17/08/2021 .
• « Gestion des risques liés à la sécurité de l’information : organisation, mission et vue du système d’information » . NIST . mars 2011 . Récupéré le 17/08/2021 .